Schattenblick → INFOPOOL → RECHT → MEINUNGEN


STELLUNGNAHME/088: Das "Zweite Gesetz zur Erhöhung der Sicherheit infomationstechnischer Systeme" (NG/FH)


Neue Gesellschaft/Frankfurter Hefte Nr. 10/2019

Demokratie in digitalen Zeiten
Wird der Bürger zum Risiko?
Das "Zweite Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme"

von Aleksandra Sowa


Beteiligungsmöglichkeiten der Zivilgesellschaft beim Thema IT-Sicherheit würden heute massiv davon abhängen, ob Gesetze im Internet "durchgeleakt" werden, bemerkte Sven Herpig von der Stiftung Neue Verantwortung in der öffentlichen Anhörung des Bundestagsausschusses für Inneres und Heimat zum Thema "IT-Sicherheit". Seine Kritik bezog sich u. a. auf den kurz vor der Anhörung auf einer Onlineplattform veröffentlichten Entwurf des IT-Sicherheitsgesetzes 2.0 (ITSiG 2.0) vom 27. März 2019 - wäre es nämlich nach dem Wunsch des für das Gesetz zuständigen Bundesinnenministeriums gegangen, wäre das ITSiG 2.0 erst nach der Verabschiedung durch das Kabinett der Öffentlichkeit bekannt gegeben worden.

Dabei ist das Gesetz nicht nur für die Wirtschaft und Politik, sondern ja gerade für die Zivilgesellschaft von gravierender Bedeutung. Es handelt von nichts Geringerem als von dem Schutz kritischer Infrastrukturen (KRITIS) - also Infrastrukturen, die für die Versorgung der Bevölkerung essenziell sind und deswegen besonderen Auflagen bezüglich der Sicherheit und des Schutzes relevanter KRITIS-Anlagen unterliegen. So lauten die Ziele des Gesetzes zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz, ITSiG): Verbesserung der Sicherheit von Unternehmen, verstärkter Schutz der Bürgerinnen und Bürger im Internet und Stärkung des Bundesamtes für Sicherheit in der Informationstechnik (BSI) sowie des Bundeskriminalamtes (BKA). Das ITSiG in seiner ursprünglichen Fassung vom Juni 2018 wurde oft als das Gesetz bezeichnet, das nicht gehalten hat, was der Name versprach: Verbesserung der IT-Sicherheitslage in Deutschland bzw. Erhöhung der IT-Sicherheit waren seine mittelbaren Ziele, während es unmittelbar um kritische Infrastrukturen ging.

Kritische Infrastrukturen im Sinne des BSIG (aktuelle Fassung) sind "Einrichtungen, Anlagen oder Teile davon, die 1. den Sektoren Energie, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung sowie Finanz- und Versicherungswesen angehören und 2. von hoher Bedeutung für das Funktionieren des Gemeinwesens sind, weil durch ihren Ausfall oder ihre Beeinträchtigung erhebliche Versorgungsengpässe oder Gefährdungen für die öffentliche Sicherheit eintreten würden."

Die genannten sieben der insgesamt neun KRITIS-Sektoren (wobei Staat und Verwaltung sowie Medien und Kultur nicht relevant sind) fallen unter die KRITIS-Regelung. Unternehmen, die sich gemäß der BSI-KritisV (Verordnung zur Bestimmung Kritischer Infrastrukturen nach dem BSI-Gesetz) als Betreiber kritischer Infrastrukturen (KRITIS-Betreiber) identifiziert haben, sind dazu verpflichtet, angemessene technische und organisatorische Vorkehrungen nach dem Stand der Technik zur Vermeidung von Störungen der Schutzziele der IT-Sicherheit zu treffen. Dies umfasst, dass Vorschläge für branchenspezifische Sicherheitsstandards dem BSI unterbreitet werden können, dass Nachweise über die Erfüllung der Anforderungen durch Sicherheitsaudits, Prüfungen, Zertifizierungen etc. von KRITIS-Betreibern erbracht werden sollten (das umfasst insbesondere die Befugnis des BSI, von den Anbietern Sicherheitskonzepte anzufordern, zu prüfen und die Beseitigung festgestellter Mängel zu verlangen) sowie die Einführung der Meldepflichten.

Welche Einrichtungen, Anlagen oder Teile davon als KRITIS im Sinne des ITSiG bzw. BSIG gelten, wird vom Bundesministerium des Innern durch BSI-KritisV bestimmt. Die Methode zur Identifizierung kritischer Infrastrukturen (MIKI) umfasst qualitative und quantitative Kriterien. Der Schwellenwert liegt bei 500.000 (betroffenen) Personen. Konkrete Schwellenwerte für die Betreiber der von ITSiG gemeinten Anlagen, also welche Unternehmen von den besonderen Pflichten sowie Meldepflichten betroffen sind und welche nicht, sowie die Berechnungsgrundlage für diese Schwellenwerte können ebenfalls der KritisV entnommen werden. Dieser enge Fokus dürfte mit dem neuen ITSiG 2.0 aufgebrochen werden.

Auferlegung von Pflichten

Der Referentenentwurf in seiner Fassung vom 27. März 2019 umfasst Vorschläge zahlreicher Änderungen des BSIG und Telekommunikationsgesetz (TKG) sowie weiterer relevanter Gesetze. Die für KRITIS-Betreiber bereits bestehenden Meldepflichten und Verpflichtung zur Einhaltung von Sicherheitsmindeststandards sollten nun auf "weitere Teile der Wirtschaft ausgeweitet" werden. Die klassischen KRITIS-Sektoren werden um den Sektor (Abfall-)Entsorgung ergänzt.

Neue und/oder erweiterte Pflichten können aufgrund der Verpflichtung zum Einsatz von Systemen zur Angriffserkennung sowie durch die Möglichkeit zur Auferlegung von Pflichten auf Unternehmen außerhalb des bisherigen Wirkungskreises des IT-Sicherheitsgesetzes, gemäß der Bewertung von sogenannter "Cyberkritikalität" durch das Bundesamt für Sicherheit in der Informationstechnik (BSI) entstehen. Das BSI könnte im Einzelfall den Betreibern zusätzliche Pflichten (beispielsweise auch Meldepflichten) auferlegen, wenn sich die Anlage oder Teile dieser einem KRITIS-Sektor oder Bereich zuordnen lassen oder wenn IT-Störungen "wegen des hohen Grades an Vernetzung der eingesetzten Informationstechnik zu einem Ausfall oder zu einer erheblichen Beeinträchtigung der Erbringung der betroffenen Dienstleistung insgesamt führen würden (Cyberkritikalität)". Eine Auferlegung der Pflichten kann auch bei einer "tatsächlichen und hinreichend schweren Gefährdung für ein Grundinteresse der Gesellschaft" erfolgen.

KRITIS-Betreiber sollen zudem verpflichtet werden, als Teil der angemessenen organisatorischen und technischen Vorkehrungen, Systeme zur Angriffserkennung einzusetzen, inklusive der Erlaubnis, "die hierzu erforderlichen Daten" zu verarbeiten. Insofern die Daten nicht zur Prävention benötigt werden, sind sie umgehend zu löschen. Künftig dürfen KRITIS-Betreiber auch nur Komponenten von Herstellern nutzen, die eine Vertrauenswürdigkeitserklärung gegenüber dem Betreiber abgegeben haben. So müssen künftig Hersteller von IT-Produkten, die sie KRITIS-Betreibern zuliefern, Störungen in ihren IT-Produkten umgehend dem BSI melden, wenn "Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit der Software auftreten".

Das BSI bleibt auch nach dem neuen IT-Sicherheitsgesetz als zentrale Meldestelle bestehen, auch die Pflichten für die KRITIS-Betreiber wie die Erbringung von Nachweisen, das Benennen einer Kontaktstelle und die unverzügliche Meldung von Störungen bleiben erhalten. Neu ist die Pflicht zur Registrierung der im Sinne der BSI-Kritisverordnung (KritisV) relevanten kritischen Infrastrukturen, der Meldepflicht für Anbieter von Telekommunikationsdiensten und Betreibern öffentlicher Telekommunikationsnetze nachempfunden. Das BSI kann die Registrierung auch selbst vornehmen und/oder die erforderliche Dokumentation zur Bewertung der kritischen Infrastruktur nach KritisV beim Betreiber anfordern, falls dieser seiner Pflicht zur Registrierung nicht nachkommt.

ITSiG 2.0 war notwendig

"Mit diesem Gesetz sind wir europaweit Vorreiter und Vorbild", lobte der damalige Bundesinnenminister Thomas de Maizière das IT-Sicherheitsgesetz anlässlich seiner erstmaligen Vorstellung. Das ITSiG 2.0 war notwendig, um das ITSiG nachträglich an die sogenannte NIS-Richtlinie des Europäischen Parlaments und des Europäischen Rates anzupassen.

Mit dieser Richtlinie hat sich die Union zum Ziel gesetzt, EU-übergreifend ein höheres Niveau an Netz- und Informationssicherheit zu schaffen und so die Nutzer und Unternehmen besser vor den Risiken durch Cyberattacken, Computerspionage oder Cyberkriminalität zu schützen. Danach ergaben sich für ITSiG, neben den novellierten Anforderungen an die KRITIS-Betreiber, zusätzliche Anforderungen für Betreiber von digitalen Diensten sowie in Bezug auf die Aufsicht.

Mit dem ITSiG 2.0 sollte der "mit dem IT-Sicherheitsgesetz geschaffene Ordnungsrahmen" noch erweitert werden. Die im Gesetz enthaltenen erweiterten Maßnahmen zielen - neben dem Schutz der Bürger und Stärkung des Staates - auf "eine resiliente Wirtschaft" ab, liest man im Referentenentwurf.

Dies geht damit einher, dass gleich neue Bußgeldvorschriften eingeführt werden sollten. Verstöße gegen wesentliche Bestimmungen des ITSiG 2.0 sollten mit Geldbußen von bis zu 20 Millionen Euro oder von bis zu 4 % des gesamten weltweit erzielten jährlichen Unternehmensumsatzes des vorangegangenen Geschäftsjahrs, je nachdem, welcher der Beträge höher ist, geahndet werden können.

Im Fall der Anbieter digitaler Dienste "wird die Ordnungswidrigkeit nur geahndet, wenn" er "seine Hauptniederlassung nicht in einem anderen Mitgliedstaat der Europäischen Union hat", oder, falls ja, dort einen Vertreter genannt und dieselben digitalen Dienste anbietet.

Wesentliche Kritikpunkte an dem, bisher nur in der durchgeleakten Version bekannten, Referentenentwurf des ITSiG 2.0 betreffen die Stärkung sowie Ausweitung der Kompetenzen des BSI und BKA, wobei die vordringliche Herauslösung des BSI aus dem Bundesinnenministerium (wie zuvor die Herauslösung des BSI aus dem BND) nach wie vor ausbleibt.

Auch die generelle Erlaubnis, im Rahmen des Einsatzes von Systemen zur Angriffserkennung "die hierzu erforderlichen Daten" zu verarbeiten, stößt auf - nicht nur datenschutzrechtlich relevante - Bedenken. Kombiniert mit den erweiterten Kompetenzen der Behörden birgt sie die Gefahr des Einsatzes solcher Daten zur Überwachung der Bürger und individuelle Freiheiten einschränkender Verarbeitung mit der alles andere überschattenden Zielsetzung der nationalen Sicherheit. Es bestehen Zweifel, ob die von ITSiG 2.0 geplanten Maßnahmen und Pflichten dem "Grundinteresse der Gesellschaft" und dem verstärkten "Schutz von Bürgerinnen und Bürger im Internet" tatsächlich dienlich sind. Sicherheitsdispositive würden heute nicht der Vorbeugung dienen, man nütze sie zur Kontrolle und zur Lenkung von Phänomenen, warnte der Philosoph Giorgio Agamben. "Zu lange hat die Bundesregierung die im Mittelpunkt stehenden Fragen der IT-Sicherheit der Selbstregulierung der Wirtschaft überlassen und eine Politik verfolgt, die die Interessen von Sicherheitsbehörden vor den effektiven Schutz von Grundrechten und sichere digitale Angebote stellt", kritisierte die Fraktion Bündnis 90/Die Grünen in ihrem Antrag "IT-Sicherheit stärken, Freiheit erhalten, Frieden sichern". Thomas Meyer warnte 2013 in dieser Zeitschrift davor, die tatsächlichen absoluten Grundrechte wie die Freiheit mit Rechten von instrumentellem Wert, wie etwa Sicherheit, zu verwechseln: "Der relative Wert der Sicherheit verkehrt sich in eine substanzielle Gefahr, sobald er den Rang der wirklichen Grundrechte usurpiert oder gar diese übertreffen soll."

Der Bundestag wird hier eine grundsätzliche Entscheidung treffen müssen: Möchte man weiterhin Technologien und Strategien fördern, die Überwachung, Lebens- und Arbeitskontrolle stärken - oder möchte man in Technologien investieren, die neue Lebens- und Arbeitsentwürfe ermöglichen, Freiheit und Demokratie stärken - und so seine Schutzfunktion gegenüber den Bürgern ausfüllen.

Der Gesetzgeber wird dafür verantwortlich sein, wo Deutschland in den nächsten Jahren bei den wichtigen Themen Digitalisierung, Industrie 4.0 oder künstlicher Intelligenz stehen wird, und auch dafür, wie sich Deutschland zu dem Thema IT-Sicherheit positioniert.


Aleksandra Sowa

ist IT-Compliance Managerin, Datenschutzbeauftragte und -auditorin. 2017 erschien: Digital Politics: So verändert das Netz die Demokratie. Sie ist Sachverständige zur IT-Sicherheit im Innenausschuss des Bundestages.

*

Quelle:
Neue Gesellschaft/Frankfurter Hefte Nr. 10/2019, S. 18 - 21
Herausgegeben für die Friedrich-Ebert-Stiftung
Redaktion: c/o Friedrich-Ebert-Stiftung
Hiroshimastraße 17, 10785 Berlin
Telefon: 030/26 935-7151, -52, -53, Telefax: 030/269359238
Internet: www.ng-fh.de, E-Mail: ng-fh@fes.de
 
Die NG/FH erscheint zehnmal im Jahr (Hefte 1+2 und 7+8 als Doppelheft)
Einzelheft: 5,50 Euro zzgl. Versand
Doppelheft: 10,80 Euro zzgl. Versand
Jahresabonnement: 50,60 Euro frei Haus


veröffentlicht im Schattenblick zum 13. Dezember 2019

Zur Tagesausgabe / Zum Seitenanfang